Мы (пока) не используем CVLAN и с QinQ разбираться не доводилось.

Но вот недавно потребовалось. Мне дают VLAN (L2VPN), через который мне нужно пропустить несколько своих VLAN.

Примерная схема на рисунке.

SW2 настроен следующим образом:

!мои VLAN
vlan 10;60;100;200;300
!
!VLAN другого оператора в L2VPN
vlan 2000
!
!стык с L2VPN
int eth 1/25
switchport mode trunk
swithport trunk allowed vlan 2000
!
!коммутаторы доступа
int eth 1/26
switchport mode trunk
swithport trunk allowed vlan 10;60;100;200;300
!
int eth 1/27
switchport mode access
swithport access vlan 2000
dot1q-tunnel enable
!
int eth 1/28
switchport mode trunk
!

dot1q-tunnel selective я не использовал, чтобы с конфигурацией не заморачиваться (мне проще порты 27-28 соединить патчкордом).

 

На SW1 порт настроен аналогично порту 27 SW2.

Вроде бы ошибок не вижу.

Но когда все включаю, начинается шторм, который укладывает спать управление (в VLAN 10), поэтому посмотреть по консоли причину пока не получилось.

Не подскажите, что не так?

 

UPDATE:

Если на SW1 порт настроить так:

int eth 1/9
dot1q-tunnel selective s-vlan 2000 c-vlan 10;60;100;200;300
dot1q-tunnel selective enable
switchport mode trunk

То шторма нет. Но и туннель не работает - оборудование за L2VPN недоступно, на порту SW1 нет MAC-адресов.

qinq1.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если на SW1 и SW2 стыковочные порты настроить так:

dot1q-tunnel selective s-vlan 2000 c-vlan 10;60;100;200;300
dot1q-tunnel selective enable
switchport mode hybrid
switchport hybrid allowed vlan 10;60;100;200;300 tag
switchport hybrid allowed vlan 2000 untag
switchport hybrid native vlan 2000

то по крайней мере на коммутаторах появляются MAC-адреса.

Но связи все равно нет, и у меня сложилось впечатление, что на SW2 все MAC-адреса в моих VLAN продублировались в VLAN 2000. B соответственно я вижу их же на SW1 в VLAN 2000.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ТП Нага пояснила пару моментов.

Во-первых нужно использовать режим порта hybrid, в режиме trunk метка не снимается.

Во-вторых для selective qinq s-vlan должен быть не более 128, это ограничение чипа.

Вообщем оптимальным будет на обоих сторонах сделать именно так как в схеме - не использовать selective, а использовать патчкорд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Во-вторых для selective qinq s-vlan должен быть не более 128, это ограничение чипа.

QTECH на 2800 и 2850 эту проблему решил года 3 назад.

Попробуйте их прошивку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня как раз QSW-2800 с последней прошивкой. Значения больше 128 принимаются, но фактически используется остаток от деления на 128, то есть вместо VLAN 2000 фактически используется VLAN 80.

Но я решил не заморачиваться с selective q-in-q, физическая петля проще

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Но я решил не заморачиваться с selective q-in-q, физическая петля проще

Ну и какими конкретно настройками победили свой вопрос? А то у меня тоже "петля с патчкордом", broadcast шторм вызывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нужно дропать пакеты без тега.

И внимательно проверять разрешенные VLAN на портах, чтобы не получилось петли коммутации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нужно дропать пакеты без тега.

И внимательно проверять разрешенные VLAN на портах, чтобы не получилось петли коммутации.

Рабочий конфиг своей схемы можешь показать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тестирую работу QinQ на коммутаторах SNR-S2960-24G и SNR-S2965-8T.

 

Собрал стенд.

 

Схема: qinq-test.png

 

Не удаётся получить связь между user1 и user2.

 

Настройки коммутаторов:

 

SNR-S2965-8T

 

SoftWare Version 7.0.3.5(R0241.0155)
BootRom Version 7.2.21
HardWare Version 1.0.1

 

vlan 3
name user
vlan 604
name qinq
!
Interface Ethernet1/0/1
description qinq
dot1q-tunnel enable
switchport access vlan 604
!
Interface Ethernet1/0/2
description qinq-loop
switchport mode trunk
switchport trunk allowed vlan 2-603;605-4094
!
Interface Ethernet1/0/7
description user1
switchport access vlan 3
!
Interface Ethernet1/0/8
description UPLINK
switchport access vlan 604
!

 

SNR-S2960-24G

 

SoftWare Version 7.0.3.5(R0217.0139)
BootRom Version 7.1.3
HardWare Version 1.0.2
CPLD Version 1.2

 

vlan 3
name user
!
vlan 604
name qinq
!
Interface Ethernet1/1
description qinq-tunnel
dot1q-tunnel enable
switchport access vlan 604
!
Interface Ethernet1/2
description qinq-tunnel-loop
switchport mode trunk
switchport trunk allowed vlan 2-603;605-4094
!
Interface Ethernet1/23
description user2 
switchport access vlan 3
!
Interface Ethernet1/24
description UPLINK
switchport access vlan 604
!

 

Что я не так делаю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

raveren, порты UPLINK должны быть в режиме trunk, чтобы не отбрасывался верхний тег.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

порты UPLINK должны быть в режиме trunk, чтобы не отбрасывался верхний тег.

Делал. Не помогает.

 

SNR-S2965-8T

Interface Ethernet1/0/8
description UPLINK
switchport mode trunk
switchport trunk allowed vlan 604
!

 

SNR-S2960-24G

Interface Ethernet1/24
description UPLINK
switchport mode trunk
switchport trunk allowed vlan 604
!

 

На UPLINK-портах MAC-адреса не появляются.

 

Можете показать рабочий конфиг для моей схемы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

victor.tkachenko Спасибо! Заработало после того, как с user1 пропинговал user2. Хотя до этого пинговал IP-адрес прописанный на интерфейсе противоположного коммутатора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

raveren, рабочий конфиг аналогичен вашему.

Для ускорения решения проблемы, пожалуйста, обратитесь к нам в support. К обращению приложите полный вывод `sh run` с обоих коммутаторов и уточните каким образом они соединены (напрямую патч-кордом или через транзитную сеть).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

raveren, рабочий конфиг аналогичен вашему.

Для ускорения решения проблемы, пожалуйста, обратитесь к нам в support. К обращению приложите полный вывод `sh run` с обоих коммутаторов и уточните каким образом они соединены (напрямую патч-кордом или через транзитную сеть).

Ещё раз спасибо! Помощь больше не требуется. Я сам разобрался.

 

Для тех, кому может понадобится, выкладываю рабочие конфигурации:

SNR-S2965-8T

vlan 3
name user
vlan 604
name qinq
!
Interface Ethernet1/0/1
description qinq
dot1q-tunnel enable
switchport access vlan 604
!
Interface Ethernet1/0/2
description qinq-loop
switchport mode trunk
switchport trunk allowed vlan 2-603;605-4094
!
Interface Ethernet1/0/7
description user1
switchport access vlan 3
!
Interface Ethernet1/0/8
description UPLINK
switchport mode trunk
switchport trunk allowed vlan 604
!

 

SNR-S2960-24G

vlan 3
name user
!
vlan 604
name qinq
!
Interface Ethernet1/1
description qinq-tunnel
dot1q-tunnel enable
switchport access vlan 604
!
Interface Ethernet1/2
description qinq-tunnel-loop
switchport mode trunk
switchport trunk allowed vlan 2-603;605-4094
!
Interface Ethernet1/23
description user2 
switchport access vlan 3
!
Interface Ethernet1/24
description UPLINK
switchport mode trunk
switchport trunk allowed vlan 604
!

 

UPLINK-порты нельзя использовать с настройкой switchport trunk native vlan и режиме switchport mode access!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спрошу еще.

Текущая конфигурация такая:

Interface Ethernet1/25
description QINQ-IN (приходящий линк с туннеля)
switchport discard packet untag
switchport mode trunk
switchport trunk allowed vlan 2000 
!
Interface Ethernet1/26
description QINQ-OUT (уходящий линк на коммутаторы доступа)
switchport mode trunk
switchport trunk allowed vlan 10;60;100-999 
!
Interface Ethernet1/27
description QINQ-LOOP-SVLAN
dot1q-tunnel enable
switchport access vlan 2000
!
Interface Ethernet1/28
description QINQ-LOOP-CVLAN
switchport mode trunk
switchport trunk allowed vlan 10;60;100-999 

ну и аналогичная с другой стороны туннеля.

 

Все вроде бы работает нормально.

Но не нравится то, что на "приемный" коммутатор туннеля попадает вся FDB (из VLAN 10;60;100-999), плюс она дублируется в VLAN 2000.

Большая часть FDB на этом коммутаторе не нужна. Нужны только:

VLAN 10 (управление) - MAC-адрес шлюза управляющей подсети (плюс, возможно, MAC-адрес "передающего" коммутатора туннеля, для пинга их между собой)

VLAN 60 (мультикаст) - MAC-адрес igmp querier

VLAN 100-999 (сервисы) - MAC-адреса BRAS-ов и шлюзов

Всё остальное я хочу убрать.

Как это лучше сделать?

Изоляцию порта на "передающем" коммутаторе туннеля я пока не включал, при включении FDB "похудеет", но все равно часть адресов останется (в том числе почти все адреса из управляющего VLAN).

Как убрать остальное? ACL 1100-1199?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alibek, можно отключить изучение маков для влана или интерфейса:

mac-address-learning disable {vlan <vlan_id> | interface <ifname>}

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

То есть отключить на интерфейсе и нужные MAC-адреса добавить статикой?

А на каком интерфейсе правильнее отключать на 25 или 27?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alibek, можно просто отключить изучение маков в 2000 влане, так как там у вас всего 2 порта и трафик просто будет летать из одного в другой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На SNR-2960 нельзя отключить обучение в VLAN, только на интерфейсе.

 

Кстати, отключение learning ведь не отменит прохождение пакетов.

Поэтому ACL все же нужны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alibek, да, в таком случае можете отключить на обоих портах (25 и 27), тогда на коммутаторе не будет дублей в 2000 влане.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти
Подписчики 0